千足蟲使用進程保護　利用關機回寫技術

【賽迪網-IT技術報道】Win32/Kdcyy.cb「千足蟲」變種cb是「千足蟲」家族的最新成員之一，採用VC++ 6.0編寫，並經過加殼保護處理。

病毒名稱：Win32/Kdcyy.cb

中 文 名：「千足蟲」變種cb（又名「磁碟機」）

病毒長度：93696字節

病毒類型：蠕蟲

危險級別：★★

影響平台：Win 9X/ME/NT/2000/XP/2003

Win32/Kdcyy.cb「千足蟲」變種cb是「千足蟲」家族的最新成員之一，採用VC++ 6.0編寫，並經過加殼保護處理。「千足蟲」變種cb運行後，自我複製到系統盤根目錄下，文件名隨機生成。利用驅動程序來恢復SSDT Hook，使某些安全軟體的監控失效。強行關閉大部分殺毒軟體和安全工具軟體。被感染計算機系統會經常死機或長時間卡住不動。利用「ARP病毒」在局域網中進行自我傳播。感染除系統盤外所有盤符下的EXE可執行文件、網頁文件、RAR和ZIP壓縮包中的文件等(加密感染)，感染後的程序變為16位的圖標，圖標變模糊，類似於馬賽克。一旦發現與安全相關的窗口存在，強行將其關閉。在所有盤符下生成「autorun.inf」和病毒體，並且對這些文件進行實時檢測保護，利用移動設備進行傳播。

破壞註冊表，致使用戶無法進入「安全模式」、無法查看隱藏的系統文件，致使註冊表啟動項失效。修改註冊表，實現開啟自動播放的功能。強行刪除所有安全軟體的關聯註冊表項，使其無法開啟監控。利用進程守護技術，將病毒的「lsass.exe」、「smss.exe」進程主體和DLL組件進行關聯，實現進程守護，一旦病毒文件被刪除或被關閉，便馬上生成並重新運行。以系統級權限運行，部分進程使用了進程保護技術。利用控制台命令來設置病毒程序文件的訪問運行權限。利用了關機回寫技術，在關閉計算機時把病毒主程序體保存到[啟動]文件夾中，實現開機自啟動。另外，「千足蟲」變種cb還可以自升級。

病毒名稱：TrojanDownloader.Mypay.b

中 文 名：「放毒器」變種b

病毒長度：10752字節

病毒類型：木馬下載器

危害等級：★

影響平台：Win 9X/ME/NT/2000/XP/2003

TrojanDownloader.Mypay.b「放毒器」變種b是「放毒器」木馬下載器家族的最新成員之一，採用Delphi語言編寫，並經過加殼處理。「放毒器」變種b運行後，在被感染計算機的後台調用系統IE瀏覽器「iexplore.exe」進程，並把惡意可執行代碼注入到其中，通過系統IE瀏覽器「iexplore.exe」進程連接駭客指定遠程伺服器站點「http://x**m.***p.*c/」，下載惡意程序並自動調用運行。其中，所下載的惡意程序可能是網游木馬、廣告程序（流氓軟體）、後門等，給用戶帶來不同程度的損失。修改註冊表，實現木馬下載器開機自動運行。另外，「放毒器」變種b還具有躲避部分防火牆監控的功能，大大降低了被感染計算機上的安全性。

(